Courbes de genre 2

Paramétrisation.

Dans la même veine que la section4.2.1, nous avons fait une étude systématique des courbes (4.2) de genre 2 (génériquement) vues comme une fonction des degrés des numérateurs et des dénominateurs des fonctions rationnelles S(Y)etT(Y). Les résultats sont synthétisés dans le tableau 4.2.

Nous cherchons ici à paramétriser des courbes de genre 2 en utilisant les enco-dages connus pour les courbes de genre 0 et 1. Trois cas sont donc intéressants :

si S(Y)et T(Y) sont tous deux des fonctions rationnelles de degré 1 ; si S(Y)est une fonction rationnelle de degré 2 et T(Y) une constante ; si S(Y)est une constante et T(Y)une fonction rationnelle de degré 2.

1. Par exemple, on pourrait imaginer qu'un appareil de puissance limitée calcule le haché y et l'envoie à un autre, spécialisé en les opérations sur les courbes et capable de calculer le xassocié et réaliser les opérations de groupe.

4.2. POLYNÔMES DE DEGRÉ 3 61

Degrés

S(Y) Num. 2 0 1 2 2 2 1 1 0 1 1 1 1 2 0 0 0

Dén. 1 2 2 2 0 1 1 0 1 1 1 0 0 0 0 0 0

T(Y) Num. 0 0 0 0 0 0 0 1 1 1 1 0 1 0 1 2 2

Dén. 0 0 0 0 1 1 1 1 1 0 1 2 2 2 2 1 2

Genre de l'équation (4.2) 1 1 1 1 2 2 1 1 1 1 1 2 2 3 1 1 1 Table 4.2 Degrés de S(Y) et T(Y) pour les courbes planes de genre 2 données par l'équation (4.2)

Nous étudions les deux premiers cas seulement : il s'avère que le troisième produit des courbes qui sont obtenues également par le second.

Si S(Y) et T(Y) sont des fonctions rationnelles de degré 1.

SoitS(Y) = (αY +β)/(γY +δ)etT(Y) = (εY +ϕ)/(µY +ν), alors la courbe (4.2) est birationnellement équivalente aux courbes de la formey²/d² = (x³+3ax+2c)²+ 8bx³ où

a= δε−γϕ

δµ−γν, b = (αδ−γβ)(µϕ−εν)

(δµ−γν)² , c= βε−αϕ

δµ−γν et d= (δµ−γν). Beaucoup de ces courbes sont isomorphes les unes aux autres, et sans perte de généralité on peu xer c = 1 et d = 1. Finalement nous nous restreignons aux fonctions S(Y) = −Y, T(Y) = (a²Y +a)/(aY +b+ 1), telles que, quand 4a⁶b³ − b³(b²+ 20b−8)a³+ 4b³(b+ 1)³ 6= 0, la courbe (4.2) est birationnellement équiva-lente à la courbe de genre 2 qui a pour modèle de Weierstrass

H1,a,b :y² = (x³+ 3ax+ 2)² + 8bx³, (4.7) avecx=X ety=−4aY +X³+ 3aX−2.

De plus, la courbe

S²(Y) +T(Y) =Y²+ (a²Y +a)/(aY + 1 +b) =Z² (4.8) est birationnellement équivalente à la courbe elliptique dont le modèle de Weierstrass est

V² =U³ + (−a⁶+ 2 (b+ 1)(2b−1)a³−(b+ 1)⁴)U 3 + 1

27(2a⁹+ 3 (2−2b+ 5b²)a⁶−6 (2b−1)(b+ 1)³a³+ 2 (b+ 1)⁶). (4.9)

Si elle était hessienne, on pourrait utiliser la paramétrisation décrite ci-dessus.

Dans tous les cas, on peut la paramétrer par la méthode d'Icart : U = 1 Revenant par le changement de variables birationnel de la courbe (4.9) à la courbe (4.8), nous obtenons Y et Z à partir de U et V (cf. algorithme 3 pour les formules dé-taillées). Soit maintenant ∆ = p³

T(Y)(Z −S(Y)), alors X = ∆−T(Y)/∆.

Figure 4.2 Encodage sur les courbes de genre 2 (de type A).

Finalement nous obtenons le théorème suivant :

Théorème 4.2.3 Soit F_q le corps ni à q éléments. Supposons q impair et q ≡ 2 mod 3. SoitH1,a,b/F_q la courbe hyperelliptique de genre 2 dénie par l'équation (4.7).

L'algorithme 3 calcule un encodage déterministe e1,a,b : F^∗_q\ S1 → H1,a,b, où S1

est un sous-ensemble de F_q de taille au plus 35, avec complexité O(log^2+o(1)q). Démonstration Les formules précédentes dénissent un encodage déterministe pourvu que t, W,aY +b+ 1 et∆ soient tous non nuls.

La condition W = 0 donne un polynôme en t de degré 8, il existe donc au plus 8 valeurs pour lesquelles W = 0. De même, la condition aY +b+ 1 = 0 fournit au plus 8 valeurs supplémentaires pour lesquelles W = 0.

4.2. POLYNÔMES DE DEGRÉ 3 63

En outre,∆ = 0 si et seulement siT = 0 ouZ =−Y. La conditionT = 0 donne 8 valeurs supplémentaires. De même, la conditionZ+Y = 0 donne un polynôme en t de degré 10, dans ce cas nous avons au plus 18 valeurs pour lesquelles ∆ = 0.

Le nombre total d'éléments deF_q qui ne peuvent pas être encodés est nalement au plus35. 2

Cardinal de l'image. Soit (X, Y) un point rationnel sur une courbe C1,a,b,c, soit t un antécédent de (X, Y) par notre encodage e1,a,b. Alors il existe une relation polynomiale entre Y et t de degré au plus 8 en t (cf. algorithme 3). (X, Y) a donc au plus8 antécédents par e1,a,b. Finalement, |Ime1,a,b|>(q−35)/8.

Nombre de courbes. Les invariants d'Igusa [40] de ces courbes sont égaux à J₂ = 2⁶3 (−9a³+ 4b²+ 4b−9),

Le lieu géométrique de ces invariants est une surface de dimension 2 donnée par une équation homogène de degré 90, que nous ne décrivons pas plus ici. Par conséquent, l'équation (4.7) dénit Θ(q²)courbes non isomorphes sur F_q.

Si S(Y) est une fonction rationnelle de degré 2.

Soit maintenant S(Y) = (αY²+βY +γ) /(δY²+εY +ϕ) et T(Y) = κ, la courbe (4.2) est birationnellement équivalente aux courbes de la forme y²/λ= (x³+ 3µx+ 2a)²+ 4b où

λ =ε²−4ϕδ , µ=κ , a= κ

λ(εβ −2δγ−2ϕα) etb = κ²

λ(β²−4αγ)−a². Plusieurs de ces courbes sont isomorphes les unes aux autres et, sans perte de gé-néralité, nous pouvons xer λ et µ comme n'importe quel résidu quadratique non nul (par exemple, λ, µ= 1) ou n'importe quel résidu non quadratique (par exemple λ, µ=−3 vu queq ≡2 mod 3).

Finalement nous obtenons :

S(Y) = λ(a−u)Y² −4vY −4 (a+ u)

µ(λY²−4) et T(Y) = µ ,

où u = µ³/2w−w/2−a avec w ∈ F^∗_q. Alors, quand b³λ¹⁰(µ⁶ + 2µ³a² −2bµ³ + a⁴+ 2ba²+b²)6= 0, la courbe (4.2) est birationnellement équivalente à la courbe de genre 2 dont le modèle de Weierstrass est

H2,λ,µ,a,v,w :y²/λ= (x³+ 3µx+ 2a)²+ 4b , (4.10) avec b=v²/λ−u² pourv ∈F_q, x=X et y=λ(X³/2 + 3µX/2 +a−u)Y −2v. Remarque : calculerv etw connaissantb revient à construire un point(v :w: 1) sur la courbe elliptique v²/λ−(µ³/2w−w/2−a)² −b = 0. Comme dans le cas précédent, on peut toujours le faire en temps déterministe avec les formules d'Icart quand on peut exhiber un changement de variables bilinéaireF_q-rationnel entre cette courbe et le modèle de Weierstrass cubique. C'est typiquement le cas quand λ = 1, mais plus quand λ=−3.

Par ailleurs, soitz =w/2 +r³/2w et donc tel que(u+a)²+r³ =z², alors µ²(λY²−4)²(S(Y)²+T(Y)) =−λ²(4ua−z²)Y⁴−8λv(a−u)Y³

−8λ(4µ³−3z²−2b+ 6ua+ 4a²)Y²+ 32v(u+a)Y + 16z² =Z² (4.11) est birationnellement équivalent à la courbe elliptique de modèle de Weierstrass

V² =U³+ 2⁸λ²(−µ⁶+ (b−2a²)µ³− (a²+b)²)U/3+

2¹²λ³(2µ⁹+ (6a²−3b)µ⁶−3 (a²+b)(b−2a²)µ³+ 2 (a²+b)³)/3³. (4.12) Cette dernière peut être paramétrée par la méthode d'Icart. On obtient :

U = 1 De nouveau, en revenant par le changement de variables birationnel de la courbe (4.12) à la courbe (4.11), on obtient Y et Z à partir de U et V (cf. algorithme 4 pour les formules précises). Soit maintenant ∆ = p³

T(Y) (Z/µ(λY²−4)−S(Y)), alors X = ∆−T(Y)/∆.

Finalement nous obtenons le théorème suivant :

4.2. POLYNÔMES DE DEGRÉ 3 65

Algorithme 4: Genus2TypeBEncode

Entrée : Une courbeH2,λ,µ,a,v,w dénie par l'équation (4.10) surF_q, un élémentt∈F_q\ S². Sortie : Un point(xt:yt: 1)onH2,λ,µ,a,v,w

u :=−(2aw+w²−r³)/2w; b :=v²/l−u²;z := (w²+r³)/2w; δ := −t⁸+ 2⁹3 (µ⁶+ (−b+ 2a²)µ³+ (a²+b)²)λ²t⁴+

2¹⁴(−2µ⁹−(6a²−3b)µ⁶+ 3 (a²+b)(b−2a²)µ³−2 (a²+b)³)λ³t²+

2¹⁶3 (µ¹²+ (−2b+ 4a²)µ⁹+ (3b²+ 6a⁴)µ⁶+ 2 (a²+b)²(−b+ 2a²)µ³+ (a²+b)⁴)λ⁴;

U := ((2δ/t²)^{1/3 modq−1}+ 2t²)/6;

V := (2δt)^{1/3 modq−1}/6 +t³/6 + 128 (−µ⁶+ (b−2a²)µ³−(b+a²)²)λ²/3t;

W := −9U²−48λ(−3z²−2b+ 6ua+ 4a²+ 4µ³)U+ 256 (−4µ⁶+ (6z²+a²−12ua+ 4b)µ³+ (b+a²)(5a²+ 6ua−b−3z²))λ²;

Y := (−288v(u+a)U−72zV + 1536λv(bu+a³−2µ³u+ab+aµ³+ua²))/W;

Z := −(−324zU⁴+ (6912λµ³z+ 1728λz(−3z²−2b+ 6ua+ 4a²))U³−2592v(u+a)U²V +(−27648λ²z(b+a²)(2a²+ 6ua−4b−3z²) + 193536λ²zµ⁶

−27648λ²z(−5a²−12ua+ 6z²+ 7b)µ³)U²

+(27648λv(−2u+a)µ³+ 27648λv(b+a²)(u+a))U V

+(49152λ³z(36a³u−18a²z²+ 12a⁴+ 9z²b+ 30b²−12a²b−18aub)µ³ +49152λ³z(−6b+ 18ua+ 12a²−9z²)µ⁶+ 49152λ³z(b+a²)²(4a²+ 18ua

−14b−9z²) + 196608λ³µ⁹z)U+ (−73728vλ²(b+a²)²(u+a)−73728vλ²(4u−8a)µ⁶

−73728vλ²(−4bu+ 9z²a−7a³−13ua²+ 2ab)µ³)V −7340032λ⁴µ¹²z

−262144λ⁴z(60ua−56b+ 85a²−30z²)µ⁹

−262144λ⁴z(b+a²)(31a⁴+ 72a³u−10a²b−36a²z²+ 18aub+ 13b²−9z²b)µ³

−262144λ⁴z(b+a²)³(a²+ 6ua−5b−3z²)

−262144λ⁴z(15b²+ 87a⁴−63a²z²+ 45z²b−90aub−33a²b+ 126a³u)µ⁶)/W²; S := (−u+a)Y²λ−4vY −4a−4u;∆ :=p³

(Z−S)/(λY²−4); xt := ∆−µ/∆;yt :=λ(X³/2 + 3µX/2 +a−u)Y −2v;

return(xt:yt: 1)

Figure 4.3 Encodage sur les courbes de genre 2 (de type B).

Théorème 4.2.4 Soit F_q le corps ni à q éléments. Supposons q impair et q ≡ 2 mod 3. Soit H2,λ,µ,a,v,w/Fq la courbe hyperelliptique de genre 2 denie par l'équa-tion (4.10).

L'algorithme4calcule un encodage déterministee2,λ,µ,a,v,w :F^∗_q\S² →H2,λ,µ,a,v,w, oùS2 est un sous-ensemble deF_q de taille au plus233, avec complexitéO(log^2+o(1)q).

Démonstration Les formules dénissent un encodage déterministe pourvu que t, W, λY²−4et Z−S soient tous non nuls.

La conditionW = 0 revient à étudier un polynôme en U de degré 2, il existe au plus deux valeurs de U pour lesquelles W = 0. Chacune de ces valeurs deU fournit ensuite un polynôme en t dérivé de δ de degré 8. Ainsi, il existe au plus 16 valeurs de t à éviter pour que W soit non nul.

La conditionλY²−4 = 0fournit de même deux valeurs pour Y. Chacune donne une relation polynomiale de degré 2 en U et de degré 1 etn V, qui peut se voir comme une courbe en t et τ = √³

2t δ de degré au plus 6. Par ailleurs, τ³ = 2t δ est une courbe de degré au plus 9. Le théorème de Bezout arme qu'il existe au plus 2×6×9 = 108 points d'intersection, ou de façon équivalente valeurs de t à éviter pour que λY²−4soit non nul.

Finalement, la condition Z = S peut être vue comme une courbe en t et τ de degré 12. De la même façon, 12×9 = 108 valeurs det sont à éviter également.

Au nal, le nombre total d'éléments de F_q qui ne peuvent pas être encodés est au plus 1 + 16 + 2×108 = 233. 2

Cardinal de l'image. Soit (X, Y)un point rationnel surH2,λ,µ,a,v,w ettun de ses antécédents par e2,λ,µ,a,v,w. Nous avons vu dans la démonstration du théorème4.2.4 que t et τ = √³

2t δ sont dénis comme les points d'intersection de deux courbes, l'une de degré 7 paramétrée par Y et l'autre de degré 9 d'après la dénition de δ. En toute généralité, pour certaines courbes et certains points, cela correspond à un nombre total d'au plus 54 valeurs det. Ainsi, |Ime1,a,b|>(q−233)/63.

Nombre de courbes. Les invariants d'Igusa de ces courbes sont égaux à J₂ = −2⁶3λ²(9µ³+ 9a²+ 10b),

J₄ = 2⁹3bλ⁴(297µ³+ 54a²+ 55b), J6 = 2¹⁴b²λ⁶(−6480µ³+ 81a²+ 80b),

J8 = −2¹⁶3b²λ⁸(31347µ⁶−134136µ³a²−158310bµ³+ 11664a⁴+ 23940ba²+ 12275b²), J10 = −2²⁴3⁶b³λ¹⁰(µ⁶+ 2µ³a²−2bµ³+a⁴+ 2ba²+b²).

4.2. POLYNÔMES DE DEGRÉ 3 67

Le lieu géométrique de ces invariants est une surface de dimension 2 dénie par l'équation homogène de degré 30

Ceci montre que l'équation (4.10) dénit Θ(q²) courbes non isomorphes surF_q. Pertinence cryptographique

Génériquement il existe Θ(q³) courbes hyperelliptiques de genre 2 dénies sur F_q. Nos deux familles de courbes hyperelliptiques obtenues sont de cardinal Θ(q²). C'est la même dimension, sur l'espace de modules, que l'espace des courbes hyperel-liptiques dont la jacobienne est isogène à un produit de courbes elhyperel-liptiques. L'intérêt des jacobiennes de courbes hyperelliptiques est justement de pouvoir avoir un sous-groupe premier plus grand que dans le cas des courbes elliptiques pour une taille de corps ni xée (O(q²) contre O(q)) : ce cardinal est le paramètre de sécurité des cryptosystèmes à base de courbes. Il est donc important de s'assurer que nos familles ne sont pas de ce type.

Nous avons testé expérimentalement les cardinaux des jacobiennes de courbes hyperelliptiques issues de nos familles. Il s'avère qu'elles ne sont apparemment jamais de cardinal premier : il semble toujours divisible par 2 ou par 3, ce qui découle vraisemblablement de la forme particulière de leurs équations.

Hormis cet eet, il est possible de trouver des courbes de nos familles pour lesquelles le cardinal du sous-groupe restant est premier et de l'ordre de q²/3. Un simple argument de cardinalité utilisant le théorème de Hasse-Weil ([20] corollaire 5.79) nous assure alors qu'il ne peut pas s'agir du groupe des points d'une courbe elliptique sur F_q : son cardinal est trop élevé.

Exemple : sur F₁₀₉₇₃, considérons la courbe hyperelliptique d'équationy² =x⁶+ 6904x⁴+ 1047x³+ 10599x²+ 4127x+ 4626 = (x³+ 3452x+ 6010)²+ 7642². Elle est de type 2. Le cardinal de sa jacobienne est 117978387 = 3×39326129. Or d'après le théorème de Hasse-Weil, une courbe elliptique sur F₁₀₉₇₃ ne peut avoir qu'au plus 11078 points.

Un argument plus fort consiste à calculer le polynôme Lde la courbe. Sur F_q, la jacobienne de la courbe hyperelliptique est un produit de courbes elliptiques seule-ment si celui-ci se factorise. Nous avons vérié sur des exemples que le polynôme L est irréductible. Toutefois, nos expériences en ce sens avec des logiciels de calcul

algébriques ont été plus limitées du fait du temps de calcul élevé du polynôme L. Nous nous sommes enn assuré que le groupe d'isomorphismes de nos courbes hyperelliptiques est génériquementZ₂: il ne contient que l'involution hyperelliptique.